Tạo bài viết
Đăng ký
18/09/2018, 15:50

Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab03-01

Trong bài viết phân tích mã độc Lab03-03 và Lab03-04 Chuyên gia an ninh mạng của SecurityBox đã hướng dẫn chi tiết các bạn cách phát hiện, phân tích và gỡ bỏ 2 mã độc trên. Bài viết lần này sẽ đi sâu phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab03-01. Đón ...

lab315

Trong bài viết phân tích mã độc Lab03-03 và Lab03-04 Chuyên gia an ninh mạng của SecurityBox đã hướng dẫn chi tiết các bạn cách phát hiện, phân tích và gỡ bỏ 2 mã độc trên. Bài viết lần này sẽ đi sâu phân tích, phát hiện và gỡ bỏ mã độc  Practical Malware Analysis Lab03-01.

Đón đọc chuyên đề phân tích mã độc từ chuyên gia tại: https://securitybox.vn/blog/

Phân tích mã độc Lab03-01 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

Mẫu mã độc của Lab03-01 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

  • Lab03-01.exe packed bằng PEncrypt 3.1. Ta thử phân tích động trước khi quyết định có cần thực hiện phân tích tĩnh trên mẫu này hay không. Các công cụ được sử dụng: Sysinternals ProcMon, Regshot, Wireshark/NetMon.

Khi được thực thi, mã độc lần lượt thực hiện các thao tác sau:

  • Tạo một Mutex với tên WinVMX32 để đảm bảo tại một thời điểm chỉ có một instance của mã độc được thực thi trong hệ thống.

lab311

  • Copy file thực thi của chính nó vào thư mục C:WINDOWSsystem32 với tên vmx32to64.exe

Lab312

lab313

  • Tạo một registry value tại HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun với tên VideoDriver, giá trị trỏ tới C:WINDOWSsystem32vmx32to64.exe

lab314

  • Thực hiện truy vấn DNS cho địa chỉ www.practicalmalwareanalysis.com (192.0.78.25, 192.0.78.24)
  • Gửi tới 192.0.78.25:443 hoặc 192.0.78.24:443 256 byte dữ liệu ngẫu nhiên, nhận về 2 gói 186 và 1233 byte. Lặp lại chu trình gửi-nhận trên sau mỗi 30s.

lab315

Với các hành vi trên, Lab03-01 có thể được sử dụng như một bot, liên tục gửi tín hiệu về C&C server để thông báo rằng nó vẫn hoạt động và sẵn sàng chờ lệnh từ C&C server (thực tế Lab03-01.exe chỉ gửi và nhận tín hiệu ngẫu nhiên mà không có hành vi độc hại nào dựa trên dữ liệu nhận được từ C&C server).

Phát hiện

Phát hiện Lab03-01 bằng signature:

  • 20 byte từ file offset 520 (208h), là hàm start trong .text section.

lab316

  • 20 byte từ 5878 (16F6h), là vị trí hard-coded string “vmx32to64.exe”.

lab318

Gỡ bỏ

  • Kill handle, sau đó xóa file thực thi Lab03-01.exe và C:WINDOWSsystem32vmx32to64.exe. Đường dẫn thư mục system32 không được hard-coded mà phải dùng hàm WinAPI GetSystemDirectory().
  • Xóa registry value HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunVideoDriver.lab319

 XEM THÊM: PHÂN TÍCH MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB01-01

Bạn là sinh viên các ngành quản trị thông tin và an ninh mạng, bạn muốn tìm tòi cơ hội để thực hành, thực tế và nhận sự hướng dẫn của chuyên gia an ninh mạng SecurityBox =>> XEM TẠI ĐÂY

Bùi Văn Nam

27 chủ đề

7090 bài viết

Có thể bạn quan tâm
0
Các chủ đề đang được quan tâm
phần mềm lập trình php | lập trình web php + mysql | khóa học lập trình php | tự học lập trình php | học php cơ bản thachpham | Code24h | Cho thuê phòng trọ hà nội | Cho thuê phòng trọ bình thạnh | Cho thuê phòng trọ | Cho thuê nhà trọ
Đăng ký

Đăng ký nhận thông báo

Các bài học thú vị sẽ được gửi đến inbox của bạn

HỖ TRỢ HỌC VIÊN
VỀ CODE24H
HỢP TÁC VÀ LIÊN KẾT
KẾT NỐI VỚI CHÚNG TÔI
TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI

CCode 24h, code mọi lúc, mọi nơi

© Copy right 2018 - 2024